Cymetrics首度公布台湾十大电商网安曝险调查报告

Cymetrics 于2021年12月2日首度公布台湾十大电商网安曝险调查报告。疫情以来迫使消费者改变购物习惯，也加速了零售产业之数码转型；然而，使用新技术的同时，企业也同样要承担数码转型所带来的网安风险，因此Cymetrics利用其曝险评估即服务(Exposure Assessment as a Service；EAS)，评级并分析台湾前10大零售电商业者的外在网安曝险情形，以协助台湾中小型零售电商业者借镜，改善其可能存在之外在曝险。

零售业一直以来都是黑客重点攻击的产业之一，零售交易当中所搜集及处理之个人数据，举凡姓名、地址、电话、交易细节等，皆为高风险且高价值之个人信息。各类型零售业之网络销售金额，于2021第3季呈现18%～80%之年增率，且部分类型于疫情期间甚至逐季翻倍成长；然而，在零售产业数码化的过程中，多数业者在信息安全防护上仍普遍不足；根据统计，黑客攻击平均每39秒发生一次，尤其43%黑客攻击更是针对中小型企业。同时，黑客攻击成本逐渐降低，美元400元即可进行网站渗透，导致近两年的网安事件亦呈现倍数成长。

专注于网安检测的Cymetrics团队，透过自身研发的非侵入式曝险评估及服务(EAS)，针对台湾前10大零售电商业者网域做检测，包括网络服务、网站、电子邮件、帐号口令与云端安全面向。

调查结果显示，普遍网站表现不佳，推测其大多采用网站套件或网络服务器缺省值，使其安全性设置不完善；而电子邮件安全配置松散，其中某家知名连锁超商业者，甚至未针对其主要网域设置认证机制，有极高机率使得黑客可藉由钓鱼信件，有机可乘。

Cymetrics产品负责人Stanley亦在微软于12月2日所主办之【请支持转型：线上策展Ｘ网安，2022技术突围全布局】在线讲座，点出报告当中的四项重大发现。第一项为90%的电商业者，网站安全性设置不够完善，由于网站安全设定为公开可轻易获取之信息，过多之网站曝险亦代表内部信息安全管控不严谨，非常容易使自身成为黑客的首要标的。

第二项则是80%的电商业者，其电子邮件安全配置松散，使得内部员工易将钓鱼信件视为正常内容，点击后即上当受骗。第三项为50%的电商业者，员工内部帐号及相关信息已外泄，容易遭凭证填充攻击，黑客只要登入，即可进一步进行横移及渗透。

最后则是，其中1家电商域名管理不严谨，可遭域名劫持攻击；由于某子网域服务已不存在但DNS纪录疏于管理未移除，易使黑客注册该服务并架设类似之服务混淆用户，用户将极容易被骗取帐号、口令及卡号。

完整Cymetrics台湾十大电商网安曝险调查报告，请至Cymetrics官网下载。